特定于操作系统的 DoS 攻击
特定于操作系统的 DoS 攻击侧重于单数据包或双数据包杀伤。这些攻击包括Ping of Death攻击,Teardrop攻击和WinNuke攻击。Junos OS 能够缓解这些攻击。有关详细信息,请参阅以下主题:
特定于操作系统的 DoS 攻击概述
如果攻击者不仅识别活动主机的 IP 地址和响应端口号,还识别其操作系统 (OS),则攻击者可以发起更优雅的攻击,从而产生一个数据包或两个数据包的“杀伤”,而不是诉诸暴力攻击。
特定于操作系统的拒绝服务 (DoS) 攻击(包括 ping 死亡攻击、泪滴攻击和 WinNuke 攻击)可以毫不费力地削弱系统。如果 Junos OS 正在保护易受这些攻击的主机,则可以配置 Junos OS 以检测这些攻击,并在它们到达目标之前阻止它们。
了解死亡攻击的 ping 值
特定于操作系统的 DoS 攻击(例如 ping 死亡攻击)可以毫不费力地削弱系统。
允许的最大 IP 数据包大小为 65,535 字节,包括数据包标头,通常为 20 字节。ICMP 回显请求是带有伪报头(8 个字节)的 IP 数据包。因此,ICMP 回显请求的数据区域的最大允许大小为 65,507 字节 (65,535 - 20 - 8 = 65,507)。
但是,许多 ping 实现允许用户指定大于 65,507 字节的数据包大小。过大的 ICMP 数据包可能会引发一系列不利的系统反应,例如拒绝服务 (DoS)、崩溃、冻结和重新启动。
启用 ping 死亡屏幕选项时,Junos OS 会检测并拒绝此类过大且不规则的数据包大小,即使攻击者通过分段来隐藏数据包总大小也是如此。参见 图 1。
有关 IP 规范的信息,请参阅 RFC 791, 互联网协议。有关 ICMP 规范的信息,请参阅 RFC 792, 互联网控制消息协议。有关死亡攻击的 ping 的信息,请参阅 http://www.insecure.org/sploits/ping-o-death.html。
之平
Junos OS 支持 IPv4 和 IPv6 数据包的死亡保护 ping。
示例:防止 ping 死亡攻击
此示例说明如何防范死亡 ping 攻击。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将启用针对 ping of 死亡攻击的保护,并指定攻击发起的区域。
配置
程序
分步过程
要启用针对死亡 ping 的保护,请执行以下操作:
指定屏幕对象名称。
[edit] user@host# set security screen ids-option ping-death icmp ping-death
设置区域屏幕的安全区域。
[edit] user@host# set security zones security-zone zone screen ping-death
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请在操作模式下输入 show security screen ids-option ping-death 和 show security zones 命令。
了解泪滴式攻击
特定于操作系统的拒绝服务 (DoS) 攻击(例如泪滴式攻击)可以毫不费力地削弱系统。
泪滴攻击利用分段 IP 数据包的重组。在 IP 报头中,其中一个字段是分片偏移量字段,它指示分片数据包中包含的数据相对于原始未分片数据包数据的起始位置或偏移量。参见 图 2。
当一个分段数据包的偏移量和大小之和与下一个分段数据包的偏移量和大小之和不同时,数据包将重叠,并且尝试重组数据包的服务器可能会崩溃,特别是如果它运行的是具有此漏洞的旧操作系统。参见 图 3。
启用泪滴攻击屏幕选项后,只要 Junos OS 在分段数据包中检测到此差异,便会将其丢弃。
Junos OS 支持 IPv4 和 IPv6 数据包的水滴攻击防护。
了解WinNuke攻击
特定于操作系统的拒绝服务 (DoS) 攻击,例如 WinNuke 攻击,可以毫不费力地削弱系统。
WinNuke是一种DoS攻击,针对互联网上运行Windows的任何计算机。攻击者将 TCP 段(通常发送到设置了紧急 (URG) 标志的 NetBIOS 端口 139)发送到已建立连接的主机(请参阅 图 4)。这引入了 NetBIOS 片段重叠,从而导致许多运行 Windows 的计算机崩溃。重新启动被攻击的计算机后,将显示以下消息,表示发生了攻击:
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) + 000041AE. This was called from 0028:[address] in VxD NDIS(01) + 00008660. It may be possible to continue normally. Press any key to attempt to continue. Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all applications. Press any key to continue.
如果启用 WinNuke 攻击防御屏幕选项,Junos OS 将扫描任何传入的 Microsoft NetBIOS 会话服务(端口 139)数据包。如果 Junos OS 观察到在其中一个数据包中设置了 URG 标志,则会取消设置 URG 标志,清除 URG 指针,转发修改后的数据包,并在事件日志中创建一个条目,指出它已阻止尝试的 WinNuke 攻击。
Junos OS 支持 IPv4 和 IPv6 流量的 WinNuke 攻击保护。
示例:防范 WinNuke 攻击
此示例演示如何防范 WinNuke 攻击。
要求
配置此功能之前,不需要除设备初始化之外的特殊配置。
概述
在此示例中,您将启用针对 WinNuke 攻击的保护并指定攻击发起的区域。
配置
程序
分步过程
要启用针对 WinNuke 攻击的防护,请执行以下操作:
指定屏幕名称。
[edit] user@host# set security screen ids-option winnuke tcp winnuke
将屏幕与安全区域关联。
[edit] user@host# set security zones security-zone zone screen winnuke
如果完成设备配置,请提交配置。
[edit] user@host# commit
验证
要验证配置是否正常工作,请在操作模式下输入 show security screen ids-option winnuke 和 show security zones 命令。